Внедрение системы менеджмента информационной безопасности в финансовой компании на основе Национальных стандартов Российской Федерации

Николай Андреевич Перчаткин
выпускник группы MBA CSO-38
Школы IT-менеджмента
РАНХиГС при Президенте РФ

Сегодня, в эру повсеместной цифровизации, практически все крупные и даже средние финансовые компании постоянно сталкиваются с огромным давлением различных угроз, таких как мошенничество с использованием компьютерных технологий, компьютерные вирусы и вредоносное программное обеспечение, взлом информационных систем, целевые атаки и др. Значимость перечисленных рисков подтверждается реальными инцидентами, произошедшими за последнее время, которые принесли компаниям значительные финансовые потери. Как следствие, необходимость в мерах по обеспечению информационной безопасности и защите интересов бизнеса является одним из самых актуальных в современных условиях увеличения значимости информационных технологий в ХХI веке.
Поэтому стратегией национальной безопасности Российской Федерации, утвержденной Указом Президента Российской Федерации от 02 июля 2021 г. № 400, среди стратегических национальных приоритетов, на реализации которых необходимо сконцентрировать усилия, особо выделяется информационная безопасность.
В качестве задач, решение которых необходимо для достижения цели обеспечения информационной безопасности, в том числе, указаны:
• предотвращение деструктивного информационно-технического воздействия на российские информационные ресурсы, включая объекты критической информационной инфраструктуры;
• снижение количества утечек информации ограниченного доступа и персональных данных;
• развитие системы прогнозирования, выявления, предупреждения угроз информационной безопасности Российской Федерации, определения их источников, оперативной ликвидации последствий реализации таких угроз.
В данной работе рассматривается внедрение системы менеджмента (управления) информационной безопасностью в финансовой компании на основе Национальных стандартов Российской Федерации, описываются ключевые проблемы системы менеджмента информационной безопасности, выдвигаются рекомендации по организации системы менеджмента информационной безопасности в соответствии с Российской версией международного стандарта по информационной безопасности ISO/IEC 27001 (ГОСТ Р ИСО/МЭК 27001-2021) (далее – ISO 27001).
Внедрение системы менеджмента информационной безопасности, как правило, осуществляется в организации в виде отдельного проекта. Этот проект должен включать следующие этапы:
• планирование;
• функционирование;
• оценка эффективности;
• совершенствование.

Так как целью данной работы является внедрение системы менеджмента информационной безопасности в определенной финансовой компании, то для этого необходимо было решить следующие задачи:
1. На этапе планирования, в соответствии с предъявляемыми требованиями к системе менеджмента информационной безопасности, выделить процессы, отвечающие за:
• управление классификацией объектов защиты;
• управление рисками информационной безопасностью (далее – ИБ);
• координация деятельности по управлению ИБ;
• управление ресурсами системы менеджмента информационной безопасности;
• управление ИБ при работе с персоналом;
• управление документами системы менеджмента информационной безопасности.

2. На этапе внедрения, в соответствии с предъявляемыми требованиями к системе менеджмента информационной безопасности выполнить работы по:
• подготовке к внедрению системы менеджмента информационной безопасности;
• реализации процессов управления ИБ этапа планирования системы менеджмента информационной безопасности;
• реализации процессов поддержки системы менеджмента информационной безопасности;
• реализации процессов управления ИБ этапа функционирования системы менеджмента информационной безопасности;
• реализации процессов управления ИБ этапа оценки эффективности системы менеджмента информационной безопасности;
• реализации процессов управления ИБ этапа совершенствования системы менеджмента информационной безопасности.

3. На этапе оценки эффективности, в соответствии с предъявляемыми требованиями к системе менеджмента информационной безопасности были разработаны следующие процедуры:
• обнаружение и оповещение о наступлении событий ИБ
• сбор информации о наступившем событии и принятие решений;
• реагирование на инциденты информационной безопасности.

4. На этапе совершенствования системы менеджмента информационной безопасности были разработаны следующие процедуры:
• оценка полноты и адекватности мер, принятых на этапе «Внедрение»;
• анализ причин возникновения инцидента информационной безопасности;
• совершенствование системы управления инцидентами информационной безопасности;
• формирование и внедрение предложений по совершенствованию мер информационной безопасности.

В работе приведены примеры по внедрению разработанных процедур и положений, вносятся рекомендации по их совершенствованию в финансовой компании.
В ходе реализации предложенных решений по модернизации системы менеджмента информационной безопасности финансовой компании, в настоящий момент удалось выполнить следующие мероприятия:
• была определена область применения системы менеджмента информационной безопасности;
• были переработаны политики;
• проведена инвентаризация информационных активов;
• организован процесс анализа системы менеджмента информационной безопасности со стороны руководства.

В финансовой компании в ближайшее время запланировано проведение следующих работ по ИБ:
• провести оценку рисков;
• разработать план обработки рисков;
• внедрить положение о применимости;
• внедрить процесс оценки результативности системы менеджмента информационной безопасности.

Предложенные рекомендации по усовершенствованию системы менеджмента информационной безопасности в финансовой компании должны способствовать повышению эффективности работы как подразделения информационной безопасности, так и компании в целом. Ожидается, что внедрение системы менеджмента информационной безопасности в соответствии с ГОСТ Р ИСО/МЭК 27001-2021 сократит риск потенциальных угроз информационной безопасности в финансовой компании.